基于人工免疫的入侵预警系统 技术报告 中国科学技术大学
基于人工免疫的入侵预警系统 技术报告 中国科学技术大学
内 概述 2.基于人工免疫的入侵预警系统的原理 3.基于人工免疫的入侵预警系统组成介绍 4.基于人工免疫的入侵预警系统运行环境 5.基于人工免疫的入侵预警系统功能描述 6.实验验证 7.本项目的创新之处 8.本系统的商业价值 9.小结
内容 1. 概述 2. 基于人工免疫的入侵预警系统的原理 3. 基于人工免疫的入侵预警系统组成介绍 4. 基于人工免疫的入侵预警系统运行环境 5. 基于人工免疫的入侵预警系统功能描述 6. 实验验证 7. 本项目的创新之处 8. 本系统的商业价值 9. 小结
网络安全概述 网络安全是计算机网络及其应用领域中一直在研究的 关键问题。它对于保障以电子商务为代表的网络经济 的快速发展,保证专用的金融网、政府网和军事网的 安全运行具有极其重要的战略意义。网络安全已经成 为一个迫在眉睫的问题。 般而言,网络安全在技术层次上主要包括防火墙技 术、加密解密技术、攻击预警技术和数据恢复技术等。 从网络安全防护上讲,防火墙技术和数据加密技术给 出了一个静态防护的概念,而入侵预警技术则具有主 动防御的意义。 因此,对攻击的识别与预警的研究具有十分重要的意 义,目前已成为网络安全系统不可缺少的一个重要组 成部分
一、网络安全概述 网络安全是计算机网络及其应用领域中一直在研究的 关键问题。它对于保障以电子商务为代表的网络经济 的快速发展,保证专用的金融网、政府网和军事网的 安全运行具有极其重要的战略意义。网络安全已经成 为一个迫在眉睫的问题。 一般而言,网络安全在技术层次上主要包括防火墙技 术、加密解密技术、攻击预警技术和数据恢复技术等。 从网络安全防护上讲,防火墙技术和数据加密技术给 出了一个静态防护的概念,而入侵预警技术则具有主 动防御的意义。 因此,对攻击的识别与预警的研究具有十分重要的意 义,目前已成为网络安全系统不可缺少的一个重要组 成部分
入侵预警概述 入侵预警是指使用自动和智能工具检测实时入 侵企图。 入侵预警的研究在20世纪80年代早期开始出现。 如斯坦福研究所在1983年6月到1986年11月 实施的研究,称作6169项目,其 Statistical Techniques Development for an Audit Trail System使用统计方法根据用户的行为 判断是否有入侵企图,是入侵检测领域较早 的研究之
入侵预警概述 入侵预警是指使用自动和智能工具检测实时入 侵企图。 入侵预警的研究在20世纪80年代早期开始出现。 – 如斯坦福研究所在1983年6月到1986年11月 实施的研究,称作6169项目,其Statistical Techniques Development for an Audit Trail System使用统计方法根据用户的行为 判断是否有入侵企图,是入侵检测领域较早 的研究之一
入侵预警系统分类 (1)基于规则的预警系统。它依赖于已知攻击和攻击 特点的库和数据库。如果当前通信状态满足某个标准 或规则,它就被标记为入侵企图。其缺点是只能检测 已知入侵。另外,有时在特定的规则和可靠检测率之 间存在反比关系。即,如果一个规则定义过于严格, 与此相似但又不完全相同的攻击会绕过该检测。 (2)异常预警系统。它通过采用更高级的技术,包括 人工智能在内,来发现当前网络状态的异常情况。这 类系统的最终目标是要求不仅能识别已知入侵,而且 应该能够自己学习新的攻击特点,识别未知入侵。但 是,现有的异常预警系统均很难达到这一要求
入侵预警系统分类 (1)基于规则的预警系统。它依赖于已知攻击和攻击 特点的库和数据库。如果当前通信状态满足某个标准 或规则,它就被标记为入侵企图。其缺点是只能检测 已知入侵。另外,有时在特定的规则和可靠检测率之 间存在反比关系。即,如果一个规则定义过于严格, 与此相似但又不完全相同的攻击会绕过该检测。 (2)异常预警系统。它通过采用更高级的技术,包括 人工智能在内,来发现当前网络状态的异常情况。这 类系统的最终目标是要求不仅能识别已知入侵,而且 应该能够自己学习新的攻击特点,识别未知入侵。但 是,现有的异常预警系统均很难达到这一要求
入侵预警系统现状 对于异常预警系统,从采用的技术来看,至今 人们已用统计分析、专家系统、神经网络、遗 传算法等方法来设计出入侵预警系统 但是,现有技术还很难识别未知入侵,其关键 题就是难于区分网络行为的正常(自我)和异 常(非我)。 要使网络得到更高水平的安全保护,应加快研 发具有高度主动性和自适应性的网络安全技术。 因此,我们需要新的思想和方法来检测网络入
入侵预警系统现状 对于异常预警系统,从采用的技术来看,至今 人们已用统计分析、专家系统、神经网络、遗 传算法等方法来设计出入侵预警系统。 但是,现有技术还很难识别未知入侵,其关键 题就是难于区分网络行为的正常(自我)和异 常(非我)。 要使网络得到更高水平的安全保护,应加快研 发具有高度主动性和自适应性的网络安全技术。 因此,我们需要新的思想和方法来检测网络入 侵
基于人工免疫的入侵预警系统简介 生物免疫系统具有很强的自我保护功能,能够识别未 知抗原,正好可以满足异常预警系统的要求。因此 我们可以借鉴生物免疫机制来设计和建立异常预警系 统,使相应的预警系统具有很强的未知入侵识别能力。 我们针对数据报报头,设计和建立了基于人工免疫的 入侵预警系统,并通过测试证明系统的未知入侵预警 能力。同时,由于该系统采用了独特的检测器机制以 及不依赖于所监视数据源的基于人工免疫的入侵预警 算法,从而使得系统具有很好的可扩展性。因此,用 只需针对不同的数据源(包括数据报内容、系统调 用、日志等),编写相应的模式抽取程序,就可使该 系统能够在更大范围内(或用户指定范围内)具有未 知入侵预警能力
基于人工免疫的入侵预警系统简介 生物免疫系统具有很强的自我保护功能,能够识别未 知抗原,正好可以满足异常预警系统的要求。因此, 我们可以借鉴生物免疫机制来设计和建立异常预警系 统,使相应的预警系统具有很强的未知入侵识别能力。 我们针对数据报报头,设计和建立了基于人工免疫的 入侵预警系统,并通过测试证明系统的未知入侵预警 能力。同时,由于该系统采用了独特的检测器机制以 及不依赖于所监视数据源的基于人工免疫的入侵预警 算法,从而使得系统具有很好的可扩展性。因此,用 户只需针对不同的数据源(包括数据报内容、系统调 用、日志等),编写相应的模式抽取程序,就可使该 系统能够在更大范围内(或用户指定范围内)具有未 知入侵预警能力
、基于人工免疫的入侵预警系统的原理 生物免疫基础 相关算法 阴性/阳性选择 亲和度变异 免疫记忆和非选择
二、基于人工免疫的入侵预警系统的原理 生物免疫基础 相关算法 – 阴性/阳性选择 – 亲和度变异 – 免疫记忆和非选择
生物免疫基础 免疫( Immunity)是生物体的一种特异 生理反应,免疫系统通过识别和排除抗 原性异物维持体内环境的稳定 具体地说,当抗原异物进入机体后,机 体能识别“自己”和“非己”,并发生 特异性的免疫应答,排除抗原性的非己 物质。 初次免疫应答 二次免疫应答
生物免疫基础 免疫(immunity)是生物体的一种特异 生理反应,免疫系统通过识别和排除抗 原性异物维持体内环境的稳定。 具体地说,当抗原异物进入机体后,机 体能识别“自己”和“非己”,并发生 特异性的免疫应答,排除抗原性的非己 物质。 –初次免疫应答 –二次免疫应答
免疫系统的组成 通常可将免疫系统分为免疫器官,免疫细胞和免疫分 大类,免疫系统在体内分布广泛,如外周淋巴器 官位于全身各个部位 免疫器官包括骨髓、胸腺、淋巴结等。其中骨髓和胸 腺是产生免疫细胞的场所 淋巴细胞是最主要的免疫细胞。淋巴细胞和其它免疫 细胞不仅定居在淋巴器官中,也分布在粘膜和皮肤组 织中。 免疫细胞和免疫分子还可通过血液在体内各处漫游 可持续地执行识别和排除抗原性异物的功能。各种免 疫细胞和免疫分子既相互协作,又相互制约,使免疫 应答既能有效又能在适度的范围内进行
免疫系统的组成 通常可将免疫系统分为免疫器官,免疫细胞和免疫分 子三大类,免疫系统在体内分布广泛,如外周淋巴器 官位于全身各个部位。 免疫器官包括骨髓、胸腺、淋巴结等。其中骨髓和胸 腺是产生免疫细胞的场所。 淋巴细胞是最主要的免疫细胞。淋巴细胞和其它免疫 细胞不仅定居在淋巴器官中,也分布在粘膜和皮肤组 织中。 免疫细胞和免疫分子还可通过血液在体内各处漫游, 可持续地执行识别和排除抗原性异物的功能。各种免 疫细胞和免疫分子既相互协作,又相互制约,使免疫 应答既能有效又能在适度的范围内进行